Domanda su GDRCD Avatar Flash postato il nel forum programmazione, gdrcd, grafica e open source e modificato il 08/10/2009 00:16:32 da ghennadi72
Domandina sull'ultimo pacchetto inserito nella sezione di GDRCD... ossia la possibilità di inserire file .swf nella scheda avatar.
Non é un po' rischioso?
Non conosco a fondo ActionScript e quale tipo di operazioni consenta sulla pagina da cui é richiamata l'animazione ma... aldilà delle operazioni *sulla* pagina da cui é richiamata, l'animazione può davvero contenere di tutto, rimandare a link esterni, richiamare a sua volta altre applicazioni flash.
E se non ricordo male può accedere direttamente agli eventuali frame richiamandoli direttamente tramite ID, controllandone quindi i contenuti.
Chiaro che il danno potenziale peggiore, mi sembra a carico dell'utente finale, quello che va a vedersi la scheda avatar, più che per i gestori..
Ma con tutto quello che sta scritto qui in materia, non é un po' una follia aprire le porte della propria land a tutto ciò solo per avere un avatar animato e con eventuale sfondo audio diverso dal "solito" midi?
ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat
Pagine → 1 2
08/10/2009 00:59:16
Decisamente, anzi a tal proposito linko un articolo di punto informatico.
http://punto-informatico.it/2162171/PI/News/flash-upnp-accoppiata-cracca-router.aspx
08/10/2009 01:14:08 e modificato il 08/10/2009 01:21:10 da ghennadi72
Appena letto. Mi sorge una domanda spontanea.. viene effettuato qualche tipo di controllo sulle "espansioni" (a GDRCD piuttosto che a qualunque altro OS) prima che venga reso disponibile per il download?
No, perchè penso ai molti aspiranti gestori di land (soprattutto quelli che installano un gdrcd su altervista e dopo vengono a chiedere che differenza c'é tra GET e POST) attratti dall'idea di avere le fichissime animazioni flash negli avatar perchè "attirano l'utenza".
E ai potenziali danni (fossero anche solo "fastidi" di entità molto più risibile rispetto allo scenario gravissimo prospettato nell'articolo che hai linkato) per i malcapitati che finissero sulle loro land.
Dico, mi pare un po' contraddittorio trovare nella stessa categoria di download una serie di fix per chiudere le falle di GDRCD e trovarci poi un pacchetto che ne apre di nuove... :)
Non so, io almeno un "alert" nella pagina di download, sui rischi che si corrono a consentire l'inserimento di animazioni flash come avatar, ce lo metterei... qualcosa tipo "Se metti la nitrogliecerina nel serbatoio dello scooter rischi di esplodere".
Poi se uno proprio vuole scoattare con lo scooter alla nitroglicerina pensando di rimorchiare più facilmente, cavoli suoi, ma almeno lo sa... ;)
ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat
08/10/2009 01:26:19
No, nessun controllo.
Se scarico una patch nessuno mi assicura che essa sia sicura, funzioni bene o tenga conto di uno scenario generico di database (di modo da non essere incompatibile o addirittura essa stessa, fonte di incompatibilità).
Riguardo l'autore della patch, quella precedente per il MixPod, sempre sviluppata da lui, soffre di vulnerabilità in quanto non filtra i dati che dal client vengono passati al server.
Le patch per gdrcd sono, nella maggior parte dei casi, di uno sviluppo molto scialbo e assurdo che a volte sono le patch stesse a mettere a rischio la sicurezza, già molto labile, dell'os.
08/10/2009 01:40:33
Mh... non so se sia la sede adatta in cui parlarne ma... mi chiedo se non si dovrebbe fare qualcosa in proposito, almeno in casi tanto evidenti.
Questo sito (e il forum in particolare) offre moltissimo agli aspiranti gestori. Magari in alcuni casi li convince anche che é meglio lasciar perdere e documentarsi un po' prima di mettercisi.
Fondamentalmente l'aspirante gestore arriva, scarica un pacchetto, poi se non é pigro scarica anche le patch e le espansioni (perchè ormai da secoli é mentalmente abituato al concetto di "release" e si affida alla collaudata procedura istallzazione -> aggiornamenti -> patch) perchè non ha voglia/tempo di scrivere da zero un sistema gestionale di gioco, e decide di fidarsi di quello che trova qui.
Non nascondiamoci che tanti aprono una land perchè il gestore della tal "grande community" l'ha esiliato o perchè il master di gilda ha promosso Tizia solo perchè ha le tette e lui no.. allora cosa fa? Apre una sua land, senza avere la minima idea di quello a cui va incontro e soprattutto di quello che gli serve per installarla, mantenerla e gestirla.
Mi sembra un po' brutale (anche se divertente sotto certi aspetti) l'idea di stimolare gli aspiranti "programmatori" a documentarsi facendogli prendere capocciate contro il marciapiede... soprattutto perchè in questo caso non é l'ingenuo gestore ad andarci di mezzo, ma sono terze parti inconsapevoli, che magari entrano a giocare per vedere com'é stata realizzata la land e vanno incontro nel migliore dei casi a una montagna di spam, popup e redirect non richiesti, e nella peggiore delle ipotesi a una reimpostazione coatta del router di casa come spiegato nell'articolo.
Insomma, in certi casi non si potrebbero semplicemente rimuovere (ovviamente con le gentili spiegazioni di rito all'autore) le "espansioni" manifestamente disastrose?
ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat
08/10/2009 01:58:10 e modificato il 08/10/2009 01:59:17 da blancks
ghennadi72 ha scritto: perchè non ha voglia/tempo di scrivere da zero un sistema gestionale di gioco, e decide di fidarsi di quello che trova qui.
soprattutto perchè in questo caso non é l'ingenuo gestore ad andarci di mezzo, ma sono terze parti inconsapevoli, che magari entrano a giocare per vedere com'é stata realizzata la land e vanno incontro nel migliore dei casi a una montagna di spam, popup e redirect non richiesti, e nella peggiore delle ipotesi a una reimpostazione coatta del router di casa come spiegato nell'articolo.
Insomma, in certi casi non si potrebbero semplicemente rimuovere (ovviamente con le gentili spiegazioni di rito all'autore) le "espansioni" manifestamente disastrose?
08/10/2009 06:41:54
Probabilmente basterebbe mettere la possibilità di commentare i download (magari con le classiche stelline da 0 a 5), in modo che chi arriva per scaricare la patch possa vedere preventivamente il giudizio di chi è passato prima di lui.
"Ciò che accomuna le community dei giochi di ruolo online e le cittadine del primo medioevo è la cultura media delle loro popolazioni"
08/10/2009 10:08:31
vedo che quell'articolo di punto informatico è datato giovedì 17 gennaio 2008
Visto che l'articolo è vecchio di circa un anno e mezzo esiste qualche fonte più aggornata riguardo al problema, perchè ammetto che cercando con google ho trovato solo articoli di quel periodo
08/10/2009 10:45:49
Lo so dyrr, di fatti non ho trovato neanch'io un articolo più recente al proposito, per cui ho preso quello derivante dalla fonte più affidabile che ho trovato.
08/10/2009 11:01:01
blancks ha scritto: Lo so dyrr, di fatti non ho trovato neanch'io un articolo più recente al proposito, per cui ho preso quello derivante dalla fonte più affidabile che ho trovato.
08/10/2009 11:45:16 e modificato il 08/10/2009 11:46:14 da blancks
Prendendo come assunto fondamentale che il MixPod è sicuro come sito e non fornisce file .swf maligni, la patch è ancora ancora sicura.
Il problema di qualla patch sono i dati passati in maniera non filtrata, gli input non sono filtrati e anche se non si riesce ad eseguire una Injection, è abbastanza per un XSS.
Edit: si dyrr, avevo inteso anche a me sarebbe piaciuto trovare una fonte più aggiornata ma non ne ho trovate neanche in inglese (almenochè non so più come cercare su google b.b).
Pagine → 1 2
Discussione seguita da:
Non puoi scrivere in questo Forum
Aggiungi Discussione ai Preferiti
Inoltra Discussione
Forum Programmazione, GDRCD, Grafica e Open Source
Torna alla lista Forum
✋😟
Abbiamo rilevato che stai usando un software per bloccare la pubblicità!
L'utilizzo di GDR-online.com è gratuito da oltre 17 anni ma è necessario coprire i costi per mantenerlo online... ti chiediamo di aiutarci disabilitando il blocco dei banner pubblicitari.
Togliere il blocco significa fare in modo che GDR-online.com possa continuare a far conoscere piccoli giochi amatoriali gratuitamente e offrire un servizio sempre migliore e adatto alle esigenze dei suoi giocatori!
Se questo avviso continua ad apparire nonostante tu abbia autorizzato il portale:
- Verifica nelle opzioni che venga disattivato AdBlock in tutto il dominio gdr-online.com e non solo in una pagina
- Controlla di non avere fra le estensioni installate altre analoghe ad AdBlock, come AdBlock Plusbr, ublock origin, ecc.
- Probabilmente sul tuo PC è installato un Antivirus che ha anche funzioni di blocco pubblicità
- Se usi Firefox impostare il "Blocco Contenuti" su "Normale" e non su "Restrittivo". Per farlo clicca sull'icona dello scudo vicino all'URL e clicca su "Disattiva Blocco per questo sito"
- Prova a premere CTRL + F5, riloggarti e vedi se il problema persiste